信息化觀察網(wǎng)

為及時發(fā)現(xiàn)漯河市電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全風(fēng)險并進(jìn)行處置閉環(huán)，防止網(wǎng)絡(luò)安全事件的發(fā)生，同時以安全監(jiān)測促進(jìn)各單位的網(wǎng)絡(luò)安全意識提升。漯河市政務(wù)服務(wù)和大數(shù)據(jù)管理局于2021年12月搭建了漯河市電子政務(wù)外網(wǎng)安全態(tài)勢感知監(jiān)管平臺，并構(gòu)建了配套的網(wǎng)絡(luò)安全運(yùn)營體系，實現(xiàn)網(wǎng)絡(luò)安全的可視、可控、可感知。平臺監(jiān)測對象為漯河市全市電子政務(wù)外網(wǎng)公共區(qū)、互聯(lián)網(wǎng)區(qū)、各接入單位以及政務(wù)云互聯(lián)網(wǎng)區(qū)與專有區(qū)信息系統(tǒng)，到目前為止監(jiān)測范圍覆蓋兩縣三區(qū)三個功能區(qū)共計八個縣區(qū)以及全市各黨政機(jī)關(guān)、政務(wù)服務(wù)各職能部門共計300多家單位。

平臺上線至今，共下發(fā)了104起安全風(fēng)險預(yù)警，通過通報預(yù)警流程，處置閉環(huán)率達(dá)98%，有效遏制了網(wǎng)絡(luò)安全事件的發(fā)生。同時，全市各單位網(wǎng)絡(luò)安全意識進(jìn)一步提升，掌握了常見安全風(fēng)險的預(yù)防及處置辦法。

通過該平臺的構(gòu)建，進(jìn)一步豐富了漯河市電子政務(wù)外網(wǎng)信息安全保障體系，構(gòu)建了可靠的網(wǎng)絡(luò)環(huán)境，提升了電子政務(wù)外網(wǎng)用戶整體的網(wǎng)絡(luò)安全意識及安全技能。

一、實施背景

電子政務(wù)外網(wǎng)建設(shè)是政務(wù)信息化建設(shè)的先導(dǎo)工程，漯河市主管部門按照中央和省關(guān)于網(wǎng)絡(luò)安全和信息化發(fā)展的工作要求，結(jié)合“負(fù)責(zé)信息安全的統(tǒng)籌規(guī)劃和協(xié)調(diào)管理，協(xié)調(diào)信息安全保障體系建設(shè)”的機(jī)構(gòu)職能，以統(tǒng)籌協(xié)調(diào)全市各級黨政機(jī)關(guān)單位全面提升基礎(chǔ)電子政務(wù)網(wǎng)絡(luò)、重要網(wǎng)站、信息系統(tǒng)的安全防御能力，構(gòu)建漯河市電子政務(wù)網(wǎng)絡(luò)信息安全保障體系為總體目標(biāo)，從2013年起開展電子政務(wù)網(wǎng)絡(luò)信息安全保障體系的規(guī)劃設(shè)計及建設(shè)工作，目前項目各項建設(shè)工作進(jìn)展正常。近年來重點(diǎn)完成了兩方面的工作：一是有效支撐了全市每年聯(lián)合開展網(wǎng)絡(luò)信息安全和保密檢查工作；二是構(gòu)建全市電子政務(wù)網(wǎng)絡(luò)安全保障體系。初步形成了我市電子政務(wù)網(wǎng)絡(luò)與信息安全工作推進(jìn)的長效機(jī)制，實現(xiàn)了網(wǎng)絡(luò)信息安全保障工作的體系化和常態(tài)化，全面提高了電子政務(wù)平臺的安全保障能力。

為了進(jìn)一步加快我市電子政務(wù)外網(wǎng)建設(shè)，推動各級政務(wù)部門利用電子政務(wù)網(wǎng)絡(luò)便捷的開展各類應(yīng)用，充分發(fā)揮電子政務(wù)網(wǎng)絡(luò)的公共設(shè)施作用和效能，根據(jù)相關(guān)政策文件精神，提升我市電子政務(wù)網(wǎng)絡(luò)信息安全保障體系的服務(wù)能力，增加電子政務(wù)網(wǎng)絡(luò)信息安全基礎(chǔ)設(shè)施及技術(shù)手段，加強(qiáng)電子政務(wù)外網(wǎng)骨干網(wǎng)安全威脅監(jiān)測能力以及市直機(jī)關(guān)單位重要業(yè)務(wù)系統(tǒng)安全風(fēng)險深度監(jiān)測預(yù)警能力，確保我市電子政務(wù)外網(wǎng)安全運(yùn)行和電子政務(wù)業(yè)務(wù)健康發(fā)展是我市電子政務(wù)外網(wǎng)安全建設(shè)的主要課題。

二、實施目標(biāo)

統(tǒng)一規(guī)劃部署漯河市電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全監(jiān)測體系，通過對內(nèi)部和外部的安全監(jiān)管，提高電子政務(wù)外網(wǎng)的安全監(jiān)測、縱深防御、風(fēng)險管控和應(yīng)急響應(yīng)能力。建立“事前、事中、事后”全程安全監(jiān)管機(jī)制與科學(xué)、有效、迅速響應(yīng)的應(yīng)急工作機(jī)制，提升網(wǎng)絡(luò)安全突發(fā)事件的處置能力。及時反饋網(wǎng)絡(luò)安全通報和事件處置結(jié)果，配合相關(guān)部門處置各類網(wǎng)絡(luò)安全事件。以安全監(jiān)測促進(jìn)電子政務(wù)外網(wǎng)各用網(wǎng)單位的網(wǎng)絡(luò)安全意識提升，提高各單位網(wǎng)絡(luò)安全負(fù)責(zé)人的網(wǎng)絡(luò)安全能力和業(yè)務(wù)水平。

可視：通過多維度的統(tǒng)計與圖形化呈現(xiàn)，展示綜合安全態(tài)勢、業(yè)務(wù)資產(chǎn)、應(yīng)急演練、安全事件、處置跟蹤、安全評價指數(shù)等可視化數(shù)據(jù)。

可感：基于深度檢測、關(guān)聯(lián)分析、異常分析等技術(shù)，建立全方位全天候的安全威脅、漏洞風(fēng)險、異常行為的實時發(fā)現(xiàn)能力，全面掌握安全態(tài)勢。

可控：持續(xù)安全監(jiān)測，在威脅未發(fā)生之前實現(xiàn)最大化精準(zhǔn)識別與預(yù)警，并進(jìn)行安全聯(lián)動處置與策略調(diào)整，實現(xiàn)主動快速響應(yīng)，精準(zhǔn)攔截攻擊行為。解決當(dāng)前電子政務(wù)外網(wǎng)信息安全監(jiān)測預(yù)警能力薄弱、數(shù)據(jù)來源單一等問題，進(jìn)一步提高漯河市電子政務(wù)網(wǎng)絡(luò)突發(fā)安全事件監(jiān)測預(yù)警能力，實現(xiàn)市級電子政務(wù)外網(wǎng)核心節(jié)點(diǎn)和8個區(qū)縣節(jié)點(diǎn)網(wǎng)絡(luò)安全風(fēng)險的監(jiān)測、預(yù)警、通報、整改、反饋、分析等工作的閉環(huán)管理。

可達(dá)：成立網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組，明確工作權(quán)責(zé)及制定場景化的工作內(nèi)容與流程，圍繞安全預(yù)防、保障、監(jiān)控、應(yīng)急等方面工作開展，構(gòu)建體系化的流程化的工作協(xié)同機(jī)制。

三、建設(shè)內(nèi)容

漯河市電子政務(wù)外網(wǎng)安全態(tài)勢感知監(jiān)管平臺由網(wǎng)絡(luò)安全監(jiān)測平臺、流量監(jiān)測工具、安全運(yùn)營機(jī)制組成，構(gòu)建全市電子政務(wù)外網(wǎng)安全威脅全面感知、精準(zhǔn)分析與研判、智能決策、協(xié)同響應(yīng)等安全閉環(huán)的統(tǒng)一安全監(jiān)管能力，從全局、整體的思路整合資源和優(yōu)化流程，打造一體化的高效運(yùn)行的網(wǎng)絡(luò)安全監(jiān)管體系，實現(xiàn)監(jiān)管協(xié)同化、管理集約化、技術(shù)平臺化、數(shù)據(jù)標(biāo)準(zhǔn)化。

（一）網(wǎng)絡(luò)安全監(jiān)測平臺

漯河市電子政務(wù)外網(wǎng)安全態(tài)勢感知監(jiān)管平臺旁路部署于漯河市電子政務(wù)外網(wǎng)核心交換機(jī)。通過大數(shù)據(jù)處理結(jié)構(gòu)設(shè)計，將關(guān)鍵節(jié)點(diǎn)流量數(shù)據(jù)進(jìn)行收集、處理、分析、存儲。最終實現(xiàn)資產(chǎn)識別、脆弱性評估、日志關(guān)聯(lián)性分析、外部威脅檢測、安全事件分析溯源、違規(guī)外連檢測、內(nèi)部橫向攻擊檢測安全可視化等能力。

（二）流量收集工具

在漯河市8個區(qū)縣電子政務(wù)外網(wǎng)匯聚節(jié)點(diǎn)旁路部署流量收集工具：臨潁縣、舞陽縣、郾城區(qū)、源匯區(qū)、召陵區(qū)、城鄉(xiāng)一體化示范區(qū)、國家級經(jīng)濟(jì)技術(shù)開發(fā)區(qū)、西城區(qū)。在電子政務(wù)外網(wǎng)雙核心、政務(wù)云部署流量收集工具。通過網(wǎng)絡(luò)流量鏡像在內(nèi)部對用戶到業(yè)務(wù)資產(chǎn)、業(yè)務(wù)的訪問關(guān)系進(jìn)行識別，基于捕捉到的網(wǎng)絡(luò)流量對內(nèi)部進(jìn)行初步的攻擊識別、違規(guī)行為檢測與內(nèi)網(wǎng)異常行為識別。傳統(tǒng)的發(fā)生在內(nèi)部的橫向移動攻擊邊界防御無法進(jìn)行檢測，如通過失陷主機(jī)向內(nèi)網(wǎng)業(yè)務(wù)資產(chǎn)發(fā)起的橫向移動或者跳板攻擊。通過該流量收集工具能夠?qū)@過邊界防御的進(jìn)入到內(nèi)網(wǎng)的攻擊進(jìn)行檢測，以彌補(bǔ)傳統(tǒng)檢測方式的不足。

（三）安全運(yùn)營機(jī)制

在日常監(jiān)測工作中開展資產(chǎn)梳理、安全評估、漏洞管理、威脅管理、通報預(yù)警、事件處置、持續(xù)運(yùn)營等環(huán)節(jié)，不斷完善網(wǎng)絡(luò)安全體系建設(shè)和安全能力建設(shè)。

資產(chǎn)梳理：借助安全工具對當(dāng)前信息資產(chǎn)進(jìn)行全面發(fā)現(xiàn)和深度識別，并結(jié)合人工梳理成真實、可用的資產(chǎn)臺賬。

安全評估：從脆弱性評估、病毒類事件評估、攻擊行為評估、失陷類事件評估等方面對現(xiàn)有安全問題以及成熟度進(jìn)行客觀評估。

漏洞管理：識別系統(tǒng)安全漏洞，并對漏洞進(jìn)行專業(yè)驗證，同時結(jié)合多種信息對識別的漏洞進(jìn)行優(yōu)先級排序，最后提出切實可行的漏洞修復(fù)指導(dǎo)。

威脅管理：結(jié)合大數(shù)據(jù)分析技術(shù)實時監(jiān)測網(wǎng)絡(luò)安全狀態(tài)，對監(jiān)測到的安全問題，安全運(yùn)維工程師介入進(jìn)行及時進(jìn)行分析與定位，下發(fā)通報及處置建議給對應(yīng)單位，同時依據(jù)安全知識庫協(xié)助進(jìn)行事件處置工作。

通報預(yù)警：結(jié)合最新威脅情報、漏洞情報，安全運(yùn)維工程師排查是否對電子政務(wù)外網(wǎng)資產(chǎn)造成威脅并通知涉及單位，協(xié)助及時進(jìn)行安全加固。

處置閉環(huán)：對安全評估、威脅檢測、漏洞檢測等發(fā)現(xiàn)的問題，進(jìn)行具體研判評估后通過短信、紙質(zhì)報告等方式通報給對應(yīng)單位責(zé)任人，并協(xié)助進(jìn)行處置，收到處置反饋后進(jìn)行二次驗證，無誤則標(biāo)記事件已閉環(huán)，進(jìn)行歸檔留存。

四、實施效果

通過在電子政務(wù)外網(wǎng)部署安全感知平臺，并結(jié)合完善的安全運(yùn)營流程的方式，極大地提升了漯河市電子政務(wù)外網(wǎng)的網(wǎng)絡(luò)安全監(jiān)測、閉環(huán)能力，有較好的應(yīng)用效果和推廣價值，主要體現(xiàn)在：

（一）構(gòu)建了完善的安全管理體系

建立網(wǎng)絡(luò)安全組織機(jī)構(gòu)，明確關(guān)鍵崗位成員和工作職責(zé)；

建立漯河市電子政務(wù)外網(wǎng)各單位網(wǎng)絡(luò)安全聯(lián)絡(luò)機(jī)制，利于在全市范圍內(nèi)開展網(wǎng)絡(luò)安全工作；

完善網(wǎng)絡(luò)安全管理體系，以方針策略為總綱，明確各類網(wǎng)絡(luò)安全管理制度，規(guī)范各項網(wǎng)絡(luò)安全技術(shù)，從頂層設(shè)計、管理體系、技術(shù)規(guī)范三位一體全面建立網(wǎng)絡(luò)安全管理體系基線；

提升各單位的網(wǎng)絡(luò)安全意識和網(wǎng)絡(luò)安全能力。

（二）構(gòu)建了持續(xù)全面的安全運(yùn)營流程

資產(chǎn)梳理：持續(xù)完善IT資產(chǎn)指紋信息，保障資產(chǎn)臺賬清晰，將終端、服務(wù)器資產(chǎn)落實到具體單位，各單位安全狀態(tài)一目了然；

外部威脅：通過持續(xù)檢測，實時發(fā)現(xiàn)來自外部的安全攻擊威脅，優(yōu)化安全防護(hù)策略，提升防御水平，至今無一例成功攻擊事件；

內(nèi)部威脅：對內(nèi)部主機(jī)進(jìn)行實時檢測，識別感染惡意木馬程序的主機(jī)，并進(jìn)行協(xié)助處置。經(jīng)人工確認(rèn)，其準(zhǔn)確率達(dá)到100%，有效提升安全風(fēng)險處置效率；

漏洞處置：持續(xù)監(jiān)測各類資產(chǎn)的漏洞風(fēng)險情況，協(xié)助各單位對各類漏洞進(jìn)行漏洞修復(fù)和加固；

預(yù)警通報：運(yùn)營期間，累計完成104次安全預(yù)警通報分析和排查，未檢測到安全事件，處置率達(dá)到98%。